Online-Shop für Schriften

Jetzt bei uns im Shop bestellen

Jetzt bestellen
6.5.4 Sicherheitsbezogene Teile von Steuerungen – Scheuerman...
Scheuermann, Praxishandbuch Brandschutz, 2016
Autor: Scheuermann
Titel: Praxishandbuch Brandschutz
Herausgeber: Scheuermann
Auflage: 2016
Autor: Scheuermann
Abschnitt: 6 Anlagentechnischer Brandschutz → 6.5 Brandschutz an Maschinen
 

6.5.4 Sicherheitsbezogene Teile von Steuerungen

Einleitung

Auf die Frage, wie sich intelligente Systeme sicherheitsrelevant beurteilen lassen, gibt die alte DIN EN 954-1:1997 Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen, Teil 1 Allgemeine Gestaltungsleitsätze mit ihrem strukturierten, hardwareorientierten Ansatz kaum Hinweise. Brauchbare Ansätze bot schon eher die ebenfalls zurückgezogene Rechnernorm DIN VDE 0801:1990 Grundsätze für Rechner in Systemen mit Sicherheitsaufgaben. Die als Ersatz nachfolgende, jetzt in der Ausgabe DIN EN 61508-1:2011-02; VDE 0803-1:2011-02: Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme – Teil 1: Allgemeine Anforderungen (IEC 61508-1:2010) vorliegende Norm, ist vorwiegend auf die Prozesstechnik zugeschnitten, kam aber in Ermangelung eines entsprechenden inhaltlichen Standards vielfach im Maschinenbau nicht zur Anwendung.

Sicherheitsrelevante Steuerungen von Maschinen, ob mechanisch, pneumatisch, hydraulisch oder elektrisch, sind nach DIN EN 954-1 erfolgreich in fünf Kategorien eingeteilt. Mit dem Vormarsch programmierbar elektronischer Systeme ergab sich aber die Notwendigkeit einer grundlegenden Revision dieser Norm. Diese schwierige Aufgabe hat nun mit der Publikation der Norm DIN EN ISO 13849-1:2007-07 Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen – Teil 1: Allgemeine Gestaltungsleitsätze ihren Abschluss gefunden.

Wesentliche Neuerung ist die Einbeziehung wahrscheinlichkeitstheoretischer Ansätze zur sicherheitstechnischen Beurteilung und Auslegung von Steuerungen. Dieser Ansatz mit der Betrachtung von Ausfallwahrscheinlichkeiten von Bauteilen ist in der elektrischen Sicherheits-Grundnormen-Reihe DIN EN/IEC 61508 verankert. Mit dem Anspruch, weiterhin alle Technologien angemessen und vor allem praktikabel zu klassifizieren, wurden die Kategorien erfolgreich in das umfassendere Konzept des Performance Level eingebettet.

Durch die Bekanntgabe der Verlängerung der EN 954-1:1996 bis zum 31.12.2011 im Amtsblatt der Europäischen Union am 29.12.2009 und der gleichzeitigen Nennung der EN ISO 13849-1:2008 als harmonisierte Norm kam es teilweise zu Unklarheiten, welche Norm anzuwenden ist. Mit der Veröffentlichung der Nachfolgenorm EN ISO 13849-1:2006 Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen wurde bereits die EN 954-1:1996 ersetzt und zurückgezogen. Die einzig gültige Norm im deutschen Normenwerk ist daher die aktuelle DIN EN ISO 13849-1:2008-12 Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen – Teil 1: Allgemeine Gestaltungsleitsätze.

6.5.4 Sicherheitsbezogene Teile von Steuerungen – Seite 2 – 01.10.2011 >>

Die Überarbeitung der DIN EN ISO 13849-1 stellt einen Balanceakt zwischen der deterministischen DIN EN 954-1 und der probabilistischen DIN EN IEC 61508 dar (s. Abbildung 1).

Abb. 1: Übersicht DIN EN ISO 13849-1 Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen – Teil 1: Allgemeine Gestaltungsleitsätze

Durch die Novellierung der EG-Maschinenrichtlinie wurde eine Überprüfung der bisher gültigen Norm EN ISO 13849-1:2007 im Hinblick auf die grundlegenden Anforderungen der neuen EG-Maschinenrichtlinie 2006/42/EG erforderlich.

Im Gegensatz zum Vorgänger beinhaltet DIN EN ISO 13849-1:2008-12 Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen – Teil 1: Allgemeine Gestaltungsleitsätze daher einen informativen Anhang ZB, der den Zusammenhang zwischen der Europäischen Norm und den grundlegenden Anforderungen der ab 29.12.2009 gültigen EG-Maschinenrichtlinie 2006/42/EG aufzeigt. Ab dem Zeitpunkt ihrer Bezeichnung als harmonisierte Europäische Norm im Amtsblatt der Europäischen Gemeinschaften kann der Hersteller bei der Anwendung dieser Norm davon ausgehen, dass er die behandelten Anforderungen der Maschinenrichtlinie eingehalten hat (sog. Vermutungswirkung). Weitere, z.B. technische Änderungen wurden nicht vorgenommen.

6.5.4 Sicherheitsbezogene Teile von Steuerungen – Seite 3 – 01.10.2011 << >>

Der entscheidende Schritt, die EN 954-1 mit der zur Beurteilung moderner Schaltungen dringend benötigten Probabilistik auszustatten, liegt darin, die bewährten Kategorien weiter zu nutzen und zusätzlich quantitative sicherheitsrelevante Eigenschaften zu bewerten. Das äußert sich zunächst in neuen Begriffen der DIN EN ISO 13849-1: Die Designated Architectures sind stark an den Kategorien der EN 954-1 orientierte, vorgegebene Strukturen. Ihre Anwendung führt über ein Bewertungsdiagramm auf einen Performance Level (PL) in den Stufen a bis e. Diese Transformation geschieht mit Hilfe der qualitätsbewertenden Größen MTTFd und DCavg. Die Begriffe sind in Tabelle 1 zusammengefasst.

Tab. 1: Begriffe der DIN EN ISO 1 3849

Begriff

Abkürzung

Mittlere Lebensdauer bis zum gefährlichen Ausfall Mean Time to Dangerous Failure

MTTFd [Jahre]

Diagnose-Deckungsgrad (von Tests) Diagnostic Coverage, average

DCavg [%]

Ausfälle gemeinsamer Ursache Common Cause Failure

CCF

Performance Level a bis e
Bewertung der sicherheitstechnischen Qualität der Ausführung der Sicherheitsfunktion

PL

6.5.4.1 Performance Level (PL) – Identifikation von Sicherheitsfunktionen und ihren Eigenschaften

Um eine maximale Kompatibilität zur IEC-Welt zu erreichen sowie die Vorteile des Wahrscheinlichkeitsansatzes zu nutzen, ohne die bewährten Kategorien über Bord zu werfen, hat die Revision der DIN EN ISO 13849-1 den Balanceakt gewagt, sowohl den deterministischen Ansatz der Kategorien als auch den Aspekt der sicherheitstechnischen Zuverlässigkeit mit der Definition des Performance Level (PL) zu vereinen. Zahlenmäßig gibt es dabei korrespondierende Klassen, die im praktischen Alltag schnell erste Abschätzungen erlauben. Als bewährtes Konzept steht die Definition einer oder mehrerer Sicherheitsfunktion(en) (SF) am Anfang des Gestaltungs- und Bewertungsprozesses. Dieses Vorgehen ist in Abbildung 2 in den Blöcken 1 bis 3 dargestellt.

Die Frage lautet: Wie sieht der Beitrag der sicherheitsbezogenen Teile, der Steuerung, zur Reduzierung des Risikos einer Gefährdung an einer Maschine aus?

Eine Maschine soll zunächst derart gebaut sein, dass für den Nutzer keine Gefährdung mehr auftreten kann (inhärente Sicherheit). Zweiter Schritt ist anschließend, das Risiko für jede noch auftretende Gefährdung zu reduzieren. Dies kann man durch Schutzmaßnahmen erreichen, die heute meistens von der Steuerung durchgeführt werden. Damit diese Schutzmaßnahmen, man spricht bei der technischen Umsetzung auch von Schutzeinrichtungen, abhängig vom Risiko eine bestimmte Qualität

6.5.4 Sicherheitsbezogene Teile von Steuerungen – Seite 4 – 01.10.2011 << >>
erreichen, ist die Risikobeurteilung ein wesentlicher Schritt. Die Schutzeinrichtung führt dann als sicherheitsbezogener Teil einer Steuerung die Sicherheitsfunktion vollständig oder zumindest teilweise aus. Sie kann z.B. den unerwarteten Anlauf verhindern, wenn ein Bediener einen Gefahrenraum betritt. Da es an einer Maschine durchaus mehrere Sicherheitsfunktionen geben kann (z.B. für Automatik- und Einrichtbetrieb), ist eine sorgfältige Betrachtung jeder einzelnen Gefährdung und der mit ihr verbundenen Sicherheitsfunktion sehr wichtig. Auch wenn durchaus dieselbe Hardware an verschiedenen Sicherheitsfunktionen (SF) beteiligt sein kann, sind die erforderlichen Maßnahmen an die Risikoreduzierung oft unterschiedlich. Abbildung 2 zeigt, wie es danach über die Ermittlung des erforderlichen Performance Level (PLr) und den von einer Steuerung erreichten Performance Level (PL) im Ablaufplan der Norm weitergeht.

Die Sicherheitsfunktion kann von Teilen der Steuerung oder von zusätzlich notwendigen Komponenten übernommen werden. Beides sind sicherheitsbezogene Teile von Steuerungen. Auch wenn durchaus dieselbe Hardware an verschiedenen Sicherheitsfunktionen beteiligt sein kann, kann die erforderliche Qualität der Risikoreduzierung für jede SF unterschiedlich sein. In der Norm wird die Qualität der Risikoreduzierung durch den Begriff Performance Level (PL) definiert. Je nach Ergebnis der Risikobeurteilung wird für die Sicherheitsfunktionen ein mehr oder weniger hoher Wert für den PL gefordert. Diese Vorgabe für den Entwurf der Steuerung nennt man erforderlicher Performance Level PLr (der Index r steht für required). Wie kommt man nun zu diesem PLr?

Ist das Design bis zur Ermittlung des realisierten PL fortgeschritten, stellt sich für jede durch die Steuerung ausgeführte Sicherheitsfunktion die Frage, ob dieser PL ausreicht. Dazu vergleicht man den PL mit dem geforderten PL (s. Block 6, Abbildung 2). Ist der für eine Sicherheitsfunktion erreichte PL schlechter als der geforderte PL, so sind mehr oder weniger große Nachbesserungen am Design (z.B. Verwendung anderer Bauteile mit besserer MTTFd) nötig, bis der PL schließlich ausreichend gut ist. Ist diese Hürde genommen, so ist eine Reihe von sogenannten Validierungsschritten notwendig, bei denen Teil 2 der DIN EN ISO 13849 ins Spiel kommt. Diese Validierung stellt systematisch sicher, dass alle funktionalen und leistungsbezogenen Anforderungen an die sicherheitsbezogenen Teile der Steuerung erreicht wurden (s. Block 7, Abbildung 2).

Sicherheitsbezogene Teile von Steuerungen sind voraussichtlich nur so gut wie zunächst die Sinnfälligkeit ihrer Sicherheitsfunktion. Danach folgen als Qualitätskriterien die Güte der verwendeten Bauteile (Lebensdauer), ihr Zusammenspiel (Dimensionierung), die Wirksamkeit der Diagnose (z.B. Selbsttests) und die Fehlertoleranz (Fehlersicherheit) der Struktur. Aus diesen Parametern bestimmt sich die Wahrscheinlichkeit eines gefährlichen Ausfalls und somit der erreichte PL. Die Revision der DIN EN ISO 13849-1 lässt die zu verwendenden Berechnungsmethoden offen. So darf man durchaus die hochkomplexe Markov-Modellierung unter Berücksichtigung der oben genannten Parameter nutzen. Die Norm beschreibt jedoch ein sehr vereinfachtes Vorgehen, nämlich die Benut-

6.5.4 Sicherheitsbezogene Teile von Steuerungen – Seite 5 – 01.10.2011 << >>
zung eines Säulendiagramms, in dem diese Modellierung des PL schon vorweggenommen ist.

Abb. 2: Iterativer Prozess zur Gestaltung der sicherheitsbezogenen Teile von Steuerungen

6.5.4 Sicherheitsbezogene Teile von Steuerungen – Seite 6 – 01.10.2011 << >>

Die Kategorien bleiben auch nach der Revision der Norm das Fundament bei der Bestimmung des PL. An ihrer Definition hat sich im Wesentlichen nichts geändert, allerdings werden zusätzliche Anforderungen an die Bauteilgüte und an die Wirksamkeit der Diagnose gestellt. Ergänzend werden für die Kategorien 2, 3 und 4 ausreichende Maßnahmen gegen Ausfälle infolge gemeinsamer Ursache gefordert.

Da die Kategorien Fehlerbetrachtungen (Fehlervermeidung und -beherrschung) erfordern, kommen zusätzliche Aspekte hinzu, die die Zuverlässigkeit der Einzelkomponenten, das Verhalten im Fehlerfall und die Fehlererkennung durch automatische Diagnosemaßnahmen betreffen. Die Grundlage hierzu liefern Fehlerlisten und Sicherheitsprinzipien. Neben der klassischen FMEA (Failure Mode and Effects Analysis, Ausfalleffektanalyse) werden in DIN EN ISO 13849-1 vereinfachte Rechenmethoden wie z.B. das Parts Count-Verfahren angeboten.

Eine der meistgestellten Fragen zur Ausfallwahrscheinlichkeit betrifft die Beschaffung zuverlässiger Ausfalldaten, der MTTFd-Werte (Mean Time to Dangerous Failure), für die sicherheitsbezogenen Komponenten. Hier ist der Bauteile- oder Komponentenhersteller mit seinem technischen Datenblatt allen anderen Quellen vorzuziehen. Viele Komponentenhersteller, auch im Bereich der Pneumatik, haben bereits signalisiert, dass solche Daten künftig erhältlich sein werden. Aber auch wenn es (noch) wenig Herstellerangaben gibt, lassen sich typische Beispielwerte aus etablierten Datensammlungen (z.B. SN 29500 oder IEC/TR 62380) ermitteln. Die Norm listet ebenfalls einige realistische Werte aus der Praxis auf.

Die Wirksamkeit der Diagnose, als Wert des mittleren Diagnosedeckungsgrades DCavg (average Diagnostic Coverage), ermittelt sich sehr einfach: Für jeden Block werden die Testmaßnahmen zusammengestellt, die den Block überwachen. Für jede dieser Testmaßnahmen wird einer von vier typischen DC-Werten aus einer Tabelle in der Norm ermittelt und schließlich berechnet. Eine nur scheinbar komplexe, aber trotzdem einfache Mittelungsformel hilft, daraus die Kenngröße DCavg zu berechnen.

Sehr einfach wird es schließlich bei der letzten Kenngröße CCF (Common Cause Failure): Hier wird unterstellt, dass eine Ursache, z.B. Verschmutzung, Übertemperatur oder Kurzschluss, unter Umständen mehrere Folgefehler verursachen kann, die z.B. beide Steuerungskanäle gleichzeitig außer Kraft setzen kann. Zur Beherrschung dieser Gefahrenquelle muss für Systeme der Kategorien 2, 3 und 4 nachgewiesen werden, dass ausreichende Maßnahmen gegen CCF getroffen wurden. Dies geschieht anhand eines Punktesystems für acht typische, meist technische Gegenmaßnahmen, bei dem mindestens 65 von 100 möglichen Punkten erreicht werden müssen.

Neben den zufälligen Hardware-Ausfällen, die durch gute Struktur und geringe Ausfallwahrscheinlichkeit beherrscht werden können, gibt es das

6.5.4 Sicherheitsbezogene Teile von Steuerungen – Seite 7 – 01.10.2011 << >>
weite Feld der sogenannten systematischen Fehler – dem System bereits seit der Konstruktion innewohnende Fehler wie z.B. Dimensionierungsfehler, Softwarefehler oder logische Fehler –, vor denen Maßnahmen zur Fehlervermeidung und -beherrschung schützen sollen. Hier nehmen die Softwarefehler einen großen Bereich ein. Die Anforderungen an die sicherheitsbezogene Software sind in der Norm zwar neu, aber im Einzelnen bereits aus einschlägigen Normen bekannt. Die konkreten Maßnahmen sind je nach gefordertem PL abgestuft.

Strategie zur Risikominderung

DIN EN ISO 12100 stellt eine Methode vor, die für das Erreichen der Sicherheit von Maschinen geeignet ist. Diese Methode – Strategie zur Risikominderung – bezieht die Gestaltung der sicherheitsbezogenen Teile von Steuerungen1 ein. Die Strategie zur Risikominderung ist grundsätzlich dann anzuwenden, wenn eine Norm mit Vermutungswirkung nicht existiert, wenn davon abgewichen wurde oder wenn zusätzliche Aspekte vorliegen, die von der Produktnorm nicht abgedeckt sind.

Sind alle Gefährdungen ermittelt, die von einer Maschine ausgehen können, so muss für jede Gefährdung das Risiko eingeschätzt werden. Aus den folgenden Risikoelementen kann das mit einer bestimmten Gefährdungssituation zusammenhängende Risiko abgeleitet werden:

  1. a)

    Schadensausmaß

  2. b)

    Eintrittswahrscheinlichkeit dieses Schadens als Funktion

    • der Gefährdungsexposition einer Person/von Personen

    • des Eintritts eines Gefährdungsereignisses

    • der technischen und menschlichen Möglichkeiten zur Vermeidung oder Begrenzung des Schadens

Ziel des weiteren Vorgehens ist es, das Risiko auf ein akzeptables Maß zu reduzieren. Kommt man zu der Bewertung, dass ein Risiko (noch) nicht akzeptabel ist, sind entsprechende Schutzeinrichtungen vorzusehen. Dem sind jedoch Bemühungen voranzustellen, die durch konstruktive Veränderungen der Maschine Gefährdungen vermeiden (inhärent sichere Konstruktion) oder zumindest weitestgehend reduzieren. In den meisten Fällen werden Schutzeinrichtungen erforderlich sein. In diesem Zusammenhang werden Sicherheitsfunktionen definiert, die von den SRP/CS

6.5.4 Sicherheitsbezogene Teile von Steuerungen – Seite 8 – 01.10.2011 << >>
(Safety Related Parts of Control Systems), den sicherheitsbezogenen Teilen von Steuerungen, ausgeführt werden (s. Abbildung 3).

Abb. 3: Sicherheitsfunktionen werden von der SRP/CS ausgeführt

Die Festlegung der notwendigen Sicherheitsfunktionen hängt sowohl von der Anwendung als auch von der Gefährdung ab.

Bestimmung des erforderlichen Performance Level PLr

Für jede vorgesehene Sicherheitsfunktion muss ein erforderlicher Performance Level PL festgelegt werden – im technischen Sinne der Sollwert. Die Anforderungen ergeben sich aus der notwendigen Risikominderung, bei deren Festlegung unter anderem ein ggf. bekanntes Unfallgeschehen zu berücksichtigen ist. ISO/DTR 14121-2 beschreibt Verfahren, um das erforderliche Maß der Risikominderung zu bestimmen. In DIN EN ISO 13849-1 wird hiervon die Methode des Risikographen angewendet (s. Abbildung 4).

Abb. 4: Risikograph zur Bestimmung des PLr

6.5.4 Sicherheitsbezogene Teile von Steuerungen – Seite 9 – 01.10.2011 << >>

Das Diagramm im Anhang A der Norm führt direkt zum erforderlichen Performance Level PLr und wird im Folgenden erläutert.

Beginnend am Ausgangspunkt werden die Risikoparameter2

  • S – Schwere der Verletzung,

  • F – Häufigkeit und/oder Dauer der Gefährdungsexposition,

  • P – Möglichkeit zur Vermeidung der Gefährdung oder Begrenzung des Schadens

bewertet.

Der Risikograph führt dadurch zum erforderlichen PLr. Diese Analyse ist für jede Sicherheitsfunktion und ohne Berücksichtigung der hierdurch erreichten Risikominderung durchzuführen. Sofern andere technische Maßnahmen bestehen, die unabhängig von der Steuerung realisiert sind, z.B. eine mechanisch trennende Schutzeinrichtung oder zusätzliche Sicherheitsfunktionen, können diese bei der Bestimmung des PLr als wirksam vorausgesetzt werden.

Schwere der Verletzung S1 und S2

Die Schwere der Verletzung an einer Gefahrenstelle wird in der Regel eine große Bandbreite einnehmen. Entscheidend für die Anforderung an die Steuerung ist jedoch nur die Unterscheidung zwischen:

  • S1 – leicht (üblicherweise reversible Verletzung)

  • S2 – ernst (üblicherweise irreversible Verletzung einschließlich Tod)

Bei der Entscheidung über S1 oder S2 sind die üblichen Auswirkungen von Unfällen und die normalerweise zu erwartenden Heilungsprozesse anzunehmen.

Häufigkeit und/oder Dauer der Gefährdungsexposition F1 und F2

Häufigkeit und Dauer der Gefährdungsexposition werden bewertet mit:

  • F1 – selten bis weniger häufig und/oder die Dauer der Gefährdungsexposition ist kurz

  • F2 – häufig bis dauernd und/oder die Dauer der Gefährdungsexposition ist lang

Eine feste Grenze zur Auswahl zwischen F1 und F2 kann leider nicht angegeben werden. Die Norm gibt in einer Anmerkung den nicht normativen Hinweis, dass bei Eingriffen, die häufiger als einmal pro Stunde erfolgen, F2 gewählt werden sollte, sonst F1.

6.5.4 Sicherheitsbezogene Teile von Steuerungen – Seite 10 – 01.10.2011 << >>

Dieser Hinweis passt aber in der Regel auf alle in der Praxis vorkommenden Fälle. Bei der Bewertung ist ein durchschnittlicher Wert der Gefährdungsexposition im Verhältnis zur gesamten Nutzungszeit einer Maschine zu berücksichtigen. Eindeutige Fälle liegen jedoch vor, z.B. bei einer manuell beschickten Presse in der Metallbearbeitung, bei der zyklisch zwischen die Werkzeuge der Maschine gegriffen werden muss (F2). Für ein Bearbeitungszentrum hingegen, das einmal jährlich eingerichtet wird und dann automatisch produziert, wird sicherlich F1 gewählt. Bei der Bewertung der Häufigkeit und Dauer ist es nicht zulässig, zu unterscheiden, ob dieselbe oder unterschiedliche Personen der Gefährdung ausgesetzt werden.

Möglichkeit zur Vermeidung der Gefährdung P1 und P2

An dieser Stelle soll bewertet werden, ob die Vermeidung einer Gefährdungssituation

  • P1 – möglich unter bestimmten Bedingungen,

  • P2 – kaum möglich

ist.

Bei der Festlegung dieses Parameters sind unter anderem die physikalischen Eigenschaften einer Maschine und die mögliche Reaktion des Bedieners von Bedeutung. Muss z.B. ein Einrichtbetrieb an laufender Maschine mit begrenzter Geschwindigkeit erfolgen, so wird bei geringen Beschleunigungswerten der Einrichtung der Parameter P1 die richtige Wahl sein: Der Bediener hat bei langsam auftretenden Gefährdungen die Möglichkeit, sich bei ausreichendem Bewegungsraum aus dem Gefahrenbereich zu entfernen. P2 ist zu wählen, wenn schnell größere Geschwindigkeiten erreicht werden können und die Chance, den Unfall durch Ausweichen des Bedieners zu vermeiden, praktisch nicht gegeben ist. Bei dieser Bewertung ist nur die Begrenzung durch das physikalisch Mögliche und nicht die Begrenzung durch steuerungstechnische Komponenten zu berücksichtigen, denn diese könnten im Fehlerfall versagen. So ist beispielsweise bei Walzen, die sich in Richtung der Hand des Bedieners bewegen, im störungsfreien Betrieb ein Einzug nicht möglich. Im Fehlerfall der Steuerung kann sich die Drehrichtung allerdings ändern und die Hand würde im ungünstigsten Falle eingezogen.

Gestaltung sicherer Steuerungen

Wenn die genaue Sicherheitsfunktion und ihre geforderte Risikominderung in Form des PL feststehen, schließt sich der konkrete Entwurf der sicherheitsbezogenen Teile der Steuerung (SRP/CS), die die Sicherheitsfunktion(en) ausführen sollen, an. Den entsprechenden Ausschnitt aus dem iterativen Gestaltungsprozess der DIN EN ISO 13849-1 zeigt Abbildung 2, Block 4 und 5.

6.5.4 Sicherheitsbezogene Teile von Steuerungen – Seite 11 – 01.10.2011 << >>

Die sicherheitstechnische Qualität der SRP/CS wird als einer von fünf Performance Level (PL) angegeben. Jedem dieser PL ist ein Bereich der Wahrscheinlichkeit eines gefährlichen Ausfalls pro Stunde zugeordnet (Tabelle 2). Neben der durchschnittlichen Wahrscheinlichkeit eines gefährlichen Ausfalls je Stunde, die auch als PFH (Probability of a Dangerous Failure per Hour) bezeichnet wird, sind weitere Maßnahmen, z.B. zur Ertüchtigung von Software oder gegen systematische Ausfälle, notwendig, um den entsprechenden PL zu erreichen.

Tab. 2: Zuordnung der Ausfallwahrscheinlichkeiten zu den Performance Level

Performance Level (PL)

Durchschnittliche Wahrscheinlichkeit eines gefährlichen Ausfalls je Stunde (PFH) in h-1

a

≥ 10-5 bis < 10-4

b

≥ 3 10-6 bis < 10-5

c

≥ 10-6 bis < 3 10-6

d

≥ 10-7 bis < 10-6

e

≥ 10-8 bis < 10-7

Das Verfahren zum Nachweis der Ausfallwahrscheinlichkeit steht grundsätzlich frei (z.B. Markov-Berechnungen, Petri-Netz-Verfahren), es sollen aber immer folgende Kriterien berücksichtigt werden:

  • quantifizierbare Aspekte (Struktur, Bauteilzuverlässigkeit, Diagnose in Form von Selbsttests, Ausfälle infolge gemeinsamer Ursache) und

  • nicht quantifizierbare, qualitative Aspekte, die das Verhalten der SRP/CS beeinflussen (Verhalten der Sicherheitsfunktion unter Fehlerbedingungen, sicherheitsbezogene Software, systematische Ausfälle und Umgebungsbedingungen).

Für beide Gruppen schlägt DIN EN ISO 13849-1 praxisorientierte Verfahren vor, die wissenschaftlich fundiert zu einer guten Abschätzung des erreichten PL führen. Für jeden Teilaspekt kann der Nachweis nach Bedarf vergröbert oder verfeinert werden, sodass neben einem schnellen Überschlag auch ein detaillierter Nachweis möglich ist.

Sind Subsysteme zu betrachten, dann können unterschiedliche Performance Level in den Teilmaschinen zum Tragen kommen. Die gesamte Maschinensteuerung CS (Control System) teilt sich in sicherheitsbezogene Teile (SRP/CS) und die meistens deutlich umfangreicheren, nicht sicherheitsbezogenen Teile auf, die alleine den normalen Betriebsfunktionen dienen. Die Kombination sicherheitsbezogener Teile einer Steuerung beginnt an dem Punkt, an dem sicherheitsbezogene Signale erzeugt werden (einschließlich z.B. Betätiger und Rolle eines Positionsschalters) und endet an den Ausgängen der Leistungssteuerungselemente (einschließlich z.B. Hauptkontakte eines Schützes). Treten im energielosen Zustand keine Gefährdungen auf (Ruhestromprinzip), so gelten Leistungselemente wie Motoren oder Zylinder nicht als SRP/CS. Wirken jedoch Fremdkräfte (z.B.

6.5.4 Sicherheitsbezogene Teile von Steuerungen – Seite 12 – 01.10.2011 << >>
an Vertikalachsen), so müssen die Leistungselemente als SRP/CS betrachtet werden (s. Abbildung 5).

Abb. 5: SRP/CS und Subsysteme innerhalb der Maschinensteuerung

Quantifizierung der Ausfallwahrscheinlichkeit

Die von der Norm zur Ermittlung des PL geforderte zahlenmäßige Bestimmung der Ausfallwahrscheinlichkeit, oft (auch in anderen Normen) vereinfacht Quantifizierung genannt, kann streng genommen niemals exakt, sondern nur mit Hilfe statistischer Methoden oder anderer Abschätzungen näherungsweise erfolgen. Zwar sind die Haupteinflussgrößen genannt, die bei dieser Bestimmung berücksichtigt werden sollen, die Wahl der Methode zur Ermittlung der Ausfallwahrscheinlichkeit aus diesen Einflussgrößen bleibt aber frei. Hier ist grundsätzlich jede abgesicherte und anerkannte Methode erlaubt wie z.B. Zuverlässigkeits-Blockdiagramme, Fehlerbaum-Methode, Markov-Modellierung oder Petri-Netze. Je nachdem, wer die Ausfallwahrscheinlichkeit bestimmt, sei es der Steuerungshersteller, der Maschinenanwender oder eine Prüfstelle, bestehen unter Umständen unterschiedliche Vorlieben für und Erfahrungen mit verschiedenen Methoden und daher wird hier ausdrücklich jede geeignete Methode erlaubt.

Andererseits besteht für diejenigen, die bisher mit der Quantifizierung der Ausfallwahrscheinlichkeit unerfahren sind, sicherlich Bedarf nach mehr oder weniger Hilfestellung seitens DIN EN ISO 13849-1. Dieser Tatsache wurde Rechnung getragen, indem ein vereinfachter Ansatz erarbeitet wurde, der trotz wissenschaftlich fundierter Grundlagen (Markov-Modellierung) Schritt für Schritt eine einfache Möglichkeit der Quantifizierung beschreibt. Dort werden an einigen Stellen Abschätzungen zur sicheren Seite getroffen, die den geschätzten Zahlenwert der Ausfallwahrscheinlichkeit gegenüber exakteren Methoden eindeutig und damit nachvollziehbar machen.

6.5.4 Sicherheitsbezogene Teile von Steuerungen – Seite 13 – 01.10.2011 << >>

FMEA versus Parts Count-Verfahren

Sind die MTTFd-Werte aller sicherheitsrelevanten Bauteile zusammengetragen, helfen einige simple Regeln, daraus den MTTFd-Kennwert der Steuerung zu berechnen. Dabei gibt es verschiedene Methoden – aufwendig durch eine genaue Ausfalleffektanalyse FMEA (Failure Modes and Effects Analysis) oder schnell und einfach nach dem Parts Count-Verfahren mit ein paar Abschätzungen zur sicheren Seite. Dies beginnt schon bei dem kleinen Unterschied zwischen MTTF und MTTFd: Wie groß ist der gefährliche Anteil der Ausfälle eines bestimmten Bauelements? In einer aufwendigen FMEA können alle denkbaren Ausfallarten aufgelistet, jeweils als ungefährlich oder gefahrbringend bewertet und in der anteiligen Häufigkeit ihres Auftretens geschätzt werden. Da die Auswirkungen eines Bauteilausfalls auf den Block über die sichere oder unsichere Ausfallrichtung entscheiden, sind unter Umständen detaillierte Analysen des von einem Ausfall hervorgerufenen Effekts nötig.

Dafür entpuppen sich vielleicht mehr Ausfallarten als sicher als bei einer vereinfachten Bewertung, wie DIN EN ISO 13849-1 sie vorschlägt: Beim Parts Count-Verfahren wird mit einem konservativen Ansatz pauschal davon ausgegangen, dass sich ungefährliche und gefahrbringende Anteile die Waage halten. Daher wird die MTTFd hier immer als doppelt so groß angenommen wie die MTTF – sofern keine genaueren Informationen vorliegen. Grundlage ist wieder das Prinzip des statistischen Mittels, d.h., eine zu günstige Bewertung eines Bauelements wird durch eine zu pessimistische eines anderen Bauelements wettgemacht. Es ist durchaus möglich, das Parts Count-Verfahren und eine FMEA zu kombinieren. Dort, wo die Werte allein durch Parts Count zu einer ausreichend kleinen PFH führen, muss keine FMEA vorgenommen werden. Gelingt es jedoch nicht, dann ist insbesondere an den Bauteilen, die schlechtere MTTFd-Werte aufweisen, eine Untersuchung der Ausfallrichtungen hilfreich, z.B. durch eine partielle FMEA. Weitere Erläuterungen zu diesem Thema finden sich in Anhang B.

So wie bei anderen Methoden der Quantifizierung wird bei der Bewertung nach DIN EN ISO 13849-1 allen MTTFd-Werten eine konstante Ausfallrate während der Einsatzdauer des Bauteils unterstellt. Selbst wenn dies, z.B. bei stark verschleißbehafteten Bauteilen, nicht direkt dem Ausfallverhalten entspricht, wird dennoch durch eine Abschätzung zur sicheren Seite eine solche MTTFd als Näherungswert bestimmt, die während der Gebrauchsdauer des Bauteils Gültigkeit hat. Üblicherweise werden Frühausfälle vernachlässigt, da Komponenten mit ausgeprägten Frühausfällen den Verfügbarkeitsanforderungen an eine Maschinensteuerung nicht gerecht werden und daher im Markt nur eine geringe Rolle spielen.

Dieses Vorgehen hat den Vorteil, dass die MTTFd immer gleich dem Kehrwert der zugehörigen gefährlichen Ausfallrate λd ist. Da sich die gefahrbringenden Ausfallraten λd der Bauteile in einem Block einfach aufsummieren, ergibt sich aus den MTTFd-Werten der beteiligten Bauteile (N Bauteile mit Laufindex i) in folgender Weise die MTTFd des Blocks:

6.5.4 Sicherheitsbezogene Teile von Steuerungen – Seite 14 – 01.10.2011 << >>

[1]

Derselbe Zusammenhang gilt auch für die Ermittlung der MTTFd jedes Kanals aus den MTTFd-Werten der zugehörigen Blöcke. Steht die MTTFd für jeden Kanal fest, so tritt eine weitere Vereinfachung in Form einer Klassenbildung in Kraft. Die ermittelten Werte werden in fünf typische Klassen eingeteilt (s. Tabelle 3).

Tab. 3: Klasseneinteilung der MTTFd jedes Kanals

MTTFd für jeden Kanal

Bezeichnung

Bereich

nicht angemessen

0 Jahre ≤ MTTFd < 3 Jahre

niedrig

3 Jahre ≤ MTTFd < 10 Jahre

mittel

10 Jahre ≤ MTTFd < 30 Jahre

hoch

30 Jahre ≤ MTTFd ≤ 100 Jahre

nicht zulässig

100 Jahre < MTTFd

Weniger als drei Jahre mittlere (nicht garantierte!) Lebensdauer wird für Komponenten der Sicherheitstechnik als nicht angemessen betrachtet. Mehr als 100 Jahre dürfen nicht in Rechnung gestellt werden, um die Bauteilzuverlässigkeit gegenüber den anderen wichtigen Einflussgrößen wie Struktur oder Tests nicht überzubewerten. Ergeben sich tatsächlich für einen Kanal weniger als drei Jahre, sollten die Bauteile durch solche mit höherer Zuverlässigkeit ausgetauscht werden, da sonst noch nicht einmal PL a erreicht werden kann. Mehr als 100 Jahre mittlere Lebensdauer sind nicht unüblich, tragen aber wegen der Kappung nicht mehr zum PL bei, da in der Bauteilzuverlässigkeit bereits der Höchstwert von 100 Jahren in Rechnung gestellt wird.

Sind mehrere Kanäle an einer Steuerung beteiligt, so ist zunächst nicht klar, welcher Wert stellvertretend für das ganze System herangezogen werden soll. Natürlich könnte man hier vorsichtigerweise den kleineren Wert nehmen, zu immer noch sicheren, aber besseren Ergebnissen führt allerdings folgende Mittelungsformel (C1 und C2 bezeichnen hierbei die beiden Kanäle, die symetrisiert werden):

[2]

Bei ausgeglichenen Kanälen entspricht der so ermittelte MTTFd-Kennwert der MTTFd eines Kanals. Bei unausgewogenen Kanälen ergibt sich eine mittlere MTTFd, die minimal zwei Drittel des besseren Wertes betragen kann. Hier kann zusätzlich der Effekt auftreten, dass der bessere Kanal vorher auf 100 Jahre MTTFd gekappt wurde und der symetrisierte Wert

6.5.4 Sicherheitsbezogene Teile von Steuerungen – Seite 15 – 01.10.2011 << >>
dadurch weniger als 100 Jahre beträgt. Es ist daher in der Regel effektiver, möglichst Kanäle ausgeglichener Zuverlässigkeit zu realisieren. Das Resultat dieses Verfahrens ist in jedem Fall, unabhängig von der Zahl und Ausführung der Kanäle, ein auf einen einzigen Steuerungskanal bezogener MTTFd-Kennwert, der, über die Steuerung gemittelt, das Niveau der Bauteilzuverlässigkeit angibt.

Diagnosedeckungsgrad von Test- und Überwachungsmaßnahmen (DC)

Eine weitere einflussreiche Größe für den PL sind die (Selbst-)Test- und Überwachungsmaßnahmen in SRP/CS. Durch wirksame Tests lässt sich z.B. eine schlechte Zuverlässigkeit der Komponenten teilweise kompensieren. Die Güte der Tests wird in DIN EN ISO 13849-1 mit dem sogenannten Diagnosedeckungsgrad DC (Diagnostic Coverage) gemessen. Der DC ist definiert als Anteil der erkannten gefahrbringenden Ausfälle an allen denkbaren gefahrbringenden Ausfällen, wobei die Bezugsgröße eine Komponente, ein Block oder das gesamte SRP/CS sein kann. Im letzteren Fall handelt es sich um den durchschnittlichen Diagnosedeckungsgrad DCavg (average), der bei der vereinfachten Bestimmung des PL mit dem Säulendiagramm eine wichtige Rolle spielt.

Wie an vielen Stellen in der Norm gibt es wieder einen genaueren, aber aufwendigeren, und einen einfachen Weg zur Bestimmung der DCavg, der von einer Reihe Abschätzungen zur sicheren Seite lebt. Der genaue, aufwendige Weg führt über eine Ausfalleffektanalyse (FMEA) und orientiert sich an der DC-Definition. Dabei werden für jedes Bauteil die erkennbar gefahrbringenden dd (dangerous detectable) bzw. unerkennbar gefahrbringenden du (dangerous undetectable) Ausfallarten und ihr Anteil an der Gesamtausfallrate des Bauteils bestimmt. Durch Summation und Verhältnisbildung ergibt sich schließlich der DC-Wert der entsprechenden Betrachtungseinheit:

[3]

Der von DIN EN ISO 13849-1 favorisierte Weg beruht auf einer begründeten konservativen Schätzung des DC direkt auf Bauteil- oder Blockebene und der anschließenden Berechnung des DCavg aus den einzelnen DC-Werten über eine Mittelungsformel. Viele Tests lassen sich typischen Standardmaßnahmen zuordnen, für die in Anhang E der Norm DC-Schätzwerte gelistet sind. Diese Maßnahmen sind in ein grobes Raster aus vier Eckwerten (0 %, 60 %, 90 % und 99 %) eingeordnet. Eine ausführliche Liste der in der Norm genannten typischen Testmaßnahmen findet sich in Anhang E, die Anwendung ist unter anderem im Beispiel einer Planschneidemaschinensteuerung erläutert.

6.5.4 Sicherheitsbezogene Teile von Steuerungen – Seite 16 – 01.10.2011 << >>

Bei der Bestimmung des DC einer Komponente oder eines Blocks sind verschiedene Randbedingungen zu beachten:

  • Die Erkennung eines gefahrbringenden Ausfalls ist nur der Anfang. Zum erfolgreichen Abschluss eines Tests ist die Einleitung eines sicheren Zustands, aus dem heraus keine Gefährdung mehr besteht, erforderlich. Dazu gehört ein wirksamer Abschaltpfad, was z.B. bei einkanalig getesteten Systemen (Kategorie 2) dazu führt, dass ein zweites Abschaltelement vorhanden sein muss. Dieses ist nötig, um den sicheren Zustand einzuleiten bzw. aufrechtzuerhalten, wenn der Test ein Versagen des regulären Abschaltelements (Block O im sicherheitsbezogenen Blockdiagramm) festgestellt hat.

  • Sowohl das Auslösen eines Tests, dessen Ausführung als auch die erforderliche Abschaltung sollten bevorzugt automatisch von SRP/CS durchgeführt werden. Nur in Ausnahmefällen erscheint es angeraten, hier auf eine manuelle Intervention, z.B. des Maschinenbedieners, angewiesen zu sein. Gleichwohl berücksichtigt die Bestimmung des DC für zweikanalige Systeme Fehleraufdeckung bei Anforderung der Sicherheitsfunktion, d.h., es werden nicht nur automatisch ausgelöste Tests in programmierbarer Elektronik betrachtet. Gerade bei elektromechanischen Bauteilen, z.B. Relais oder Schützen, kann eine Erkennung des Fehlers Nichtabfall üblicherweise nur bei Anforderung der Sicherheitsfunktion erfolgen. Für die Fehleraufdeckung bei Anforderung muss die Häufigkeit der Anforderung der Sicherheitsfunktion berücksichtigt werden.

  • Ein weiterer Aspekt ist die Frage nach der notwendigen Testhäufigkeit. Ein Test, der zu selten ausgeführt wird, wird unter Umständen durch das Eintreten eines Gefährdungsereignisses überholt und bietet damit nur trügerische Sicherheit. Als Faustregel gilt: Die Testhäufigkeit konkurriert immer mit anderen Häufigkeiten, daher kann eine ausreichende Häufigkeit nicht generell genannt werden. In zweikanaligen Systemen der Kategorien 3 und 4 steht die Testhäufigkeit in Konkurrenz zur Häufigkeit des Auftretens eines zweiten gefahrbringenden Ausfalls. Denn erst wenn der zweite Kanal ausfällt, bevor ein Test den Ausfall des ersten bemerkt hat, besteht die Gefahr der Nichtausführung der Sicherheitsfunktion – Kategorie-4-Systeme tolerieren gemäß Definition sogar die Anhäufung unerkannter Fehler. In zweikanaligen Systemen hat sich ein Test einmal pro Schicht in der Praxis bewährt. Anders ist es beim einkanalig getesteten System der Kategorie 2: Hier muss der Test erfolgreich sein, bevor die nächste Anforderung der Sicherheitsfunktion – also eine potenzielle Gefährdung – erfolgt. Hier steht die Testhäufigkeit also in Konkurrenz zur Häufigkeit der Anforderung der Sicherheitsfunktion. In beiden Fällen wird ein Faktor von 100 als ausreichend angesehen, also eine mindestens 100-mal höhere Testrate als die gefahrbringende Ausfallrate λd (= 1/MTTFd) bzw. als die mittlere Anforderungsrate der Sicherheitsfunktion. Bis hinunter zu einem Faktor von 25 ergibt sich demgegenüber eine maximale Erhöhung der Ausfallwahrscheinlichkeit von ca. 10 %. Darunter ist es wesentlich von der Synchronisation von Anforderung und Testung abhängig, ob die

    6.5.4 Sicherheitsbezogene Teile von Steuerungen – Seite 17 – 01.10.2011 << >>
    Testung überhaupt zur Geltung kommt. Falls in einkanalig getesteten Systemen allerdings die Tests so schnell ausgeführt werden, dass der sichere Zustand erreicht wird, bevor es zu einer Gefährdung kommt, dann werden keine Bedingungen an die Testhäufigkeit gestellt.

  • Ein weiterer Punkt ist die Zuverlässigkeit der Testeinrichtung selbst: Grundsätzlich sollte gelten, dass die Testeinrichtung nicht vor der von ihr überwachten Komponente ausfallen sollte. Andererseits ist es aber auch nicht effektiv, viel mehr in die Zuverlässigkeit der Testeinrichtung zu investieren als in die Sicherheitseinrichtungen, die die eigentliche Sicherheitsfunktion ausführen. DIN EN ISO 13849-1 hält sich daher mit Anforderungen an die Zuverlässigkeit der Testeinrichtungen zurück. Bei den Kategorien 3 und 4 wird auf die Einfehlertoleranz vertraut, da inklusive des Ausfalls der Testeinrichtung insgesamt drei gefahrbringende Ausfälle notwendig sind, bevor die Sicherheitsfunktion nicht mehr ausgeführt wird. Dass dieser Fall unbemerkt auftreten kann, wird als extrem unwahrscheinlich und daher nicht entscheidend angesehen. Bei Kategorie 2 gibt es zumindest bei der vereinfachten PL-Bestimmung anhand des Säulendiagramms eine Nebenbedingung, die bei der Berechnung der Kategorie-2-Säulen zugrunde gelegt wurde: Hier sollte die gefahrbringende Ausfallrate der Testeinrichtung nicht mehr als doppelt so hoch sein wie die gefahrbringende Ausfallrate der davon überwachten Komponenten – im Zweifel lässt sich dieser Vergleich kanalweise durchführen, sodass der MTTFd-Wert des gesamten Testkanals nicht kleiner sein sollte als der halbe MTTFd-Wert des Funktionskanals.

  • Die Wirksamkeit einer bestimmten Testmaßnahme, z.B. Fehlererkennung durch den Prozess, kann sehr stark von der Anwendung abhängig sein und durchaus zwischen 0 und 99 % schwanken. Hier ist bei der Auswahl eines der DC-Eckwerte besondere Sorgfalt notwendig.

  • Es kann vorkommen, dass Komponenten oder Blöcke durch mehrere Tests überwacht werden oder dass auf verschiedene Teile unterschiedliche Tests wirken und hieraus ein Gesamt-DC für die Komponente oder den Block ermittelt werden muss. Anhang E gibt einige Hilfestellungen zu diesen Fragen.

  • Speziell bei programmierbaren elektronischen Systemen ist eine Vielzahl komplexer Fehler denkbar, sodass auch an die Komplexität der Tests entsprechende Anforderungen gestellt werden. Hier verlangt DIN EN ISO 13849-1, falls mehr als 60 % DC für die (programmierbare oder komplexe) Logik gefordert werden, mindestens eine Maßnahme für Variante Speicher, invariante Speicher und die Verarbeitungseinheit – soweit vorhanden – mit mindestens je 60 % DC.

Sind die DC-Werte aller Blöcke schließlich bekannt, wird der DCavg-Wert für das System mit der Näherungsformel (4) berechnet. Diese gewichtet die einzelnen DC mit der zugehörigen MTTFd, denn sehr zuverlässige Teile (hohe MTTFd) sind weniger auf wirksame Tests angewiesen als un-

6.5.4 Sicherheitsbezogene Teile von Steuerungen – Seite 18 – 01.10.2011 << >>
zuverlässigere Teile (die Summen in Zähler und Nenner werden über N Blöcke des gesamten Systems gebildet):

[4]

Mit dem DCavg-Wert steht schließlich ein Kennwert bereit, der im Mittel über die gesamten SRP/CS das Qualitätsniveau der Test- und Überwachungsmaßnahmen beschreibt. Bevor dieser Wert neben der Kategorie (fünf Klassen) und der MTTFd jedes Kanals (drei Klassen) in die vereinfachte Quantifizierung des PL eingeht, erfolgt eine Einordnung in eine der vier Klassen in Tabelle 4.

Tab. 4: Die vier Klassen des Diagnosedeckungsgrades im vereinfachten Ansatz der DIN EN ISO 13849-1

DC (Diagnosedeckungsgrad)

Bezeichnung

Bereich

kein

DC < 60 %

niedrig

60 % ≤ DC < 90 %

mittel

90 % ≤ DC < 99 %

hoch

99 % ≤ DC

Bei der anschließenden Weiterverwendung des DCavg in der vereinfachten Quantifizierung durch das Säulendiagramm wird nur der jeweils untere Eckwert einer DCavg-Klasse (0 %, 60 %, 90 % oder 99 %) verwendet. Hier greift also eine weitere Vereinfachung, die auf einer Abschätzung zur sicheren Seite beruht.

Im Einzelfall kann es durch dieses grobe, vereinfachte Raster allerdings zu Artefakten kommen, wenn z.B. eine unzuverlässige Komponente mit für die SRP/CS überdurchschnittlichem DC durch eine zuverlässigere Komponente ersetzt wird.

Maßnahmen gegen Ausfälle infolge gemeinsamer Ursache (CCF)

Der letzte Parameter, der bei der vereinfachten Quantifizierung der Ausfallwahrscheinlichkeit eine Rolle spielt, betrifft Ausfälle infolge einer gemeinsamen Ursache CCF (Common Cause Failure). Dabei handelt es sich um korrelierte gefahrbringende Ausfälle, z.B. in beiden Kanälen eines redundanten SRP/CS, die auf eine einzige Ursache zurückzuführen sind. Beispiele hierfür sind ungünstige Umgebungsbedingungen oder Überbelastungen, die beim Entwurf der Steuerung nicht ausreichend berücksichtigt wurden. Bei unzureichender Trennung der Kanäle kann es dann zu gefahrbringenden Folgefehlern kommen, die die beabsichtigte Einfehlertoleranz außer Kraft setzen. Die Relevanz dieser Effekte in einem konkreten

6.5.4 Sicherheitsbezogene Teile von Steuerungen – Seite 19 – 01.10.2011 << >>
System lässt sich nur schwer quantitativ abschätzen. Im Anhang D der DIN EN 61508-6 wird dazu das sogenannte Beta-Faktor-Modell bemüht, das die Ausfälle gemeinsamer Ursache als β mal λd ins Verhältnis setzt zur gefahrbringenden Ausfallrate eines Kanals λd. Ohne eine genaue FMEA kann β für reale SRP/CS allerdings bestenfalls geschätzt werden. DIN EN ISO 13849-1 bietet dazu eine Checkliste aus acht wichtigen Gegenmaßnahmen an, die mit 5 bis 25 Punkten bewertet werden:

  • physikalische Trennung der Signalpfade unterschiedlicher Kanäle (15 Punkte)

  • Diversität in der Technologie, der Gestaltung oder den physikalischen Prinzipien der Kanäle (20 Punkte)

  • Schutz gegen mögliche Überbelastungen (15 Punkte) und Verwendung bewährter Bauteile (5 Punkte)

  • Ausfalleffektanalyse in der Entwicklung zur Aufdeckung potenzieller Ausfälle infolge gemeinsamer Ursache (5 Punkte)

  • Schulung der Konstrukteure/Monteure hinsichtlich CCF und ihrer Vermeidung (5 Punkte)

  • Schutz vor durch Verunreinigung (mechanische und fluidische Systeme) bzw. elektromagnetische Beeinflussung (elektrische Systeme) ausgelösten Ausfällen infolge gemeinsamer Ursache (25 Punkte)

  • Schutz vor durch ungünstige Umgebungsbedingungen ausgelösten Ausfällen infolge gemeinsamer Ursache (10 Punkte)

Die für eine Gegenmaßnahme genannten Punkte sollen nur vollständig oder gar nicht vergeben werden, eine halbe Umsetzung der Gegenmaßnahmen wird nicht durch Punkte belohnt, allerdings können subsystemweise unterschiedliche Maßnahmenbündel gegen CCF wirken. Werden alle acht Gegenmaßnahmen erfüllt, würde sich eine maximale Summe von 100 Punkten ergeben. Allerdings fordert DIN EN ISO 13849-1 nur eine Mindestsumme von 65 Punkten – und dies auch nur für SRP/CS in den Kategorien 2, 3 und 4. Bei Kategorie-2-Systemen geht es dabei darum, gefährliche Ausfälle in Test- und Funktionskanal durch gemeinsame Ursachen, die ein unerkanntes Auftreten eines gefährlichen Fehlers bewirken können, zu vermeiden. Bei der Erstellung des Säulendiagramms zur vereinfachten Quantifizierung wurden die 65 Punkte mit einem Beta-Faktor von 2 % gleichgesetzt. Hier wurde die Vergröberung gegenüber den fünf Kategorien und drei bzw. vier MTTFd- und DCavg-Klassen noch weiter forciert und auf eine simple Ja-Nein-Entscheidung reduziert. Während die Vorteile einer redundanten Struktur schon bei einem Beta-Faktor von 10 % fast vollständig zunichtegemacht werden, minimiert ein Beta-Faktor von höchstens 2 % die Relevanz von Ausfällen infolge gemeinsamer Ursache auf ein vertretbares Maß.

6.5.4 Sicherheitsbezogene Teile von Steuerungen – Seite 20 – 01.10.2011 << >>

Vereinfachte PL-Bestimmung durch das Säulendiagramm

Nachdem die vier wesentlichen quantitativen Parameter zur Ermittlung der Ausfallwahrscheinlichkeit bestimmt wurden, ist es trotzdem keine einfache Aufgabe, hieraus den für die SRP/CS erreichten PL zu ermitteln. Obwohl grundsätzlich alle geeigneten Methoden erlaubt sind, schlägt DIN EN ISO 13849-1 ein einfaches grafisches Verfahren vor, das auf komplexeren Berechnungen und Abschätzungen zur sicheren Seite beruht – das sogenannte Säulendiagramm (s. Abbildung 6).

Abb. 6: Säulendiagramm zur vereinfachten PL-Bestimmung aus der Kategorie (inklusive Maßnahmen gegen CCF), dem DCavg und der MTTFd

Dieses Diagramm wurde auf der Grundlage der vorgesehenen Architekturen für die Kategorien durch Markov-Modellierung ermittelt. Bei Anwendung des Säulendiagramms wird zunächst durch die erreichte Kategorie – dabei müssen für Kategorien 2, 3 und 4 ausreichende Maßnahmen gegen CCF vorhanden sein – in Kombination mit der erreichten DCavg-Klasse auf der horizontalen Achse die relevante Säule bestimmt. Die Höhe der von den SRP/CS erreichten MTTFd auf der ausgewählten Säule legt den auf der vertikalen Achse abzulesenden PL fest. Mit dieser Methode ist auch

6.5.4 Sicherheitsbezogene Teile von Steuerungen – Seite 21 – 01.10.2011 << >>
ohne genaue quantitative Daten eine schnelle qualitative Abschätzung des erreichten PL möglich. Falls genaue Werte gefragt sind, z.B. neben dem PL auch ein Wert für die durchschnittliche Wahrscheinlichkeit eines gefährlichen Ausfalls je Stunde, helfen die Tabellen in Anhang K der Norm weiter.

Bei der Ableitung des Säulendiagramms wurden nicht nur vorgesehene Architekturen berücksichtigt, sondern auch einige Bedingungen vorausgesetzt, die bei dessen Anwendung beachtet werden sollten:

  • Als Gebrauchsdauer der SRP/CS wurden 20 Jahre unterstellt, innerhalb derer die Bauteilzuverlässigkeiten durch konstante Ausfallraten beschrieben bzw. angenähert werden können. Durch Verwendung stark verschleißbehafteter Bauteile oder aus anderen Gründen kann die tatsächliche Gebrauchsdauer die angenommenen 20 Jahre unterschreiten. Dann ist durch vorsorglichen Austausch der betroffenen Bauteile oder der betroffenen SRP/CS die Anwendung des Säulendiagramms zu rechtfertigen. Dem Anwender sind diese Informationen in geeigneter Form mitzuteilen, z.B. über die Benutzerinformationen und durch Kennzeichnung auf den SRP/CS.

  • Bei den Säulen für Kategorie 2 wurde unterstellt, dass die Testhäufigkeit mindestens 100 Mal größer ist als die mittlere Häufigkeit der Anforderung der Sicherheitsfunktion und dass außerdem die Testeinrichtung mindestens halb so zuverlässig ist wie Logik.

Durch die Begrenzung der anrechenbaren MTTFd jedes Kanals auf 100 Jahre kann ein hoher PL nur mit bestimmten Kategorien erreicht werden. Obwohl dies mit dem vereinfachten Ansatz der vorgesehenen Architekturen und des Säulendiagramms zusammenhängt, gelten die damit verbundenen Einschränkungen auch bei einer unabhängigen Bestimmung der durchschnittlichen Wahrscheinlichkeit eines gefährlichen Ausfalls je Stunde nach anderen Methoden. Wie schon erwähnt, gelten für einige Kategorien folgende Einschränkungen durch die Architektur, die verhindern sollen, dass die Bauteilzuverlässigkeit gegenüber den anderen Einflussgrößen überbewertet wird:

  • Mit Kategorie B kann maximal PL = b erreicht werden.

  • Mit Kategorie 1 kann maximal PL = c erreicht werden.

  • Mit Kategorie 2 kann maximal PL = d erreicht werden.

  • Mit Kategorie 3 oder 4 ist auch PL = e erreichbar.

Außer dem quantitativen Aspekt der Ausfallwahrscheinlichkeit müssen zum Erreichen eines bestimmten PL aber auch qualitative Aspekte beachtet werden. Zu diesen gehören systematische Ausfälle und Softwarefehler.

6.5.4 Sicherheitsbezogene Teile von Steuerungen – Seite 22 – 01.10.2011 << >>

6.5.4.2 Beurteilung der Funktionalen Sicherheit elektrischer/elektronischer/programmierbar elektronischer (E/E/PE)-Systeme in Bezug auf die Zuverlässigkeit von Sicherheitsfunktionen

Die Sicherheitsanforderungsstufe ist ein Begriff aus dem Gebiet der Funktionalen Sicherheit und wird in der internationalen Normung gemäß IEC 61508/IEC61511 auch als Sicherheitsintegritätslevel (SIL) bezeichnet. Er dient der Beurteilung elektrischer/elektronischer/programmierbar elektronischer (E/E/PE)-Systeme in Bezug auf die Zuverlässigkeit von Sicherheitsfunktionen. Aus dem angestrebten Level ergeben sich die sicherheitsgerichteten Konstruktionsprinzipien, die eingehalten werden müssen, damit das Risiko einer Fehlfunktion minimiert werden kann.

Bei der Beurteilung der Funktionalen Sicherheit (Functional Safety Assessment) wird sichergestellt, dass die Funktionale Sicherheit erreicht wurde. Es handelt sich um eine auf Nachweise gestützte Untersuchung, die von dafür kompetenten und ausreichend unabhängigen Personen ausgeführt wird. Sie betrachten die während jeder Phase des gesamten Sicherheitslebenszyklus ausgeführten Tätigkeiten und erzielten Ergebnisse und beurteilen, inwieweit die Ziele und Anforderungen erreicht worden sind.

Die Betreiber von Anlagen mit sicherheitsrelevanten Funktionen legen im Rahmen einer Gefährdungsbeurteilung den Sicherheitsintegritätslevel für die jeweilige Sicherheitsfunktion fest. Entsprechend dieser Festlegung werden die dafür geeigneten Geräte ausgewählt und zu einem System zusammengeführt.

Die Gerätehersteller beurteilen ihre Geräte entsprechend den Normen. Bis zum Level 2 kann dies der Hersteller in eigener Verantwortung vornehmen; ab Level 3 wird dies durch einen unabhängigen Dritten durchgeführt, der nach erfolgreicher Zertifizierung ein entsprechendes Zertifikat ausstellt.

Für die Festlegung der Stufe der Sicherheitsintegrität ist zum einen eine Betrachtung des Ausfallverhaltens der betrachteten Baugruppe notwendig. Weiterhin wird in dem Assessment genau beurteilt, ob redundante Strukturen vorliegen, wie das Verhältnis zwischen sicheren Fehlern und unsicheren Fehlern ist und ob die Sicherheitsfunktion kontinuierlich oder auf Anforderung zu betrachten ist. Aus diesen Angaben werden dann die Ausfallraten bestimmt. Diese Kennwerte dienen einer Beurteilung des Sicherheitsintegritätslevels entsprechend den Vorgaben der Norm.

Die Betrachtung der Kennzahlen ist aber für die Einstufung der Geräte nicht hinreichend. Es ist noch eine Betrachtung des Lebensdauerprozesses des Gerätes notwendig. Hierbei werden z.B. die sicherheitsgerichtete Konstruktion und ähnliche Bereiche betrachtet. Das Normenwerk gibt hier spezielle Maßnahmen für die einzelnen Stufen der funktionalen Sicherheit an. Eine besondere Bedeutung hat dieser Bestandteil bei der Betrachtung von Betriebsmitteln mit komplexen Baugruppen, dies sind z.B. Mikroprozessoren, die über ein internes Programm verfügen. Hier

6.5.4 Sicherheitsbezogene Teile von Steuerungen – Seite 23 – 01.10.2011 << >>
werden in den Normen besondere Maßnahmen dargelegt, um auch auf Programmierfehler reagieren zu können. Ein besonderes Problem stellen hier z.B. Fehler dar, die nicht durch eigene Entwicklungstätigkeiten entstehen, sondern schon in Softwarewerkzeugen wie Compilern und Ähnlichem enthalten sind. Erst die Betrachtung aller Punkte lässt eine Einschätzung zu, ob sich das Betriebsmittel in einem Sicherheitskreis der entsprechenden Sicherheitsanforderungsstufe einsetzen lässt.

Eine Klassifizierung der einzelnen Baugruppen entsprechend dem Sicherheits-Integritätslevel ist nicht sinnvoll, da sich die Normenforderungen auf die Sicherheitskreise beziehen. Dies bedeutet, dass die Festlegung der Stufe erst für die bekannte Zusammenschaltung der verschiedenen Betriebsmittel wie Sensoren, Aktoren, Steuerungselemente etc. getroffen werden kann.

Die Anforderungen der DIN EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme – Teil 1: Allgemeine Anforderungen, DIN EN 62061 Sicherheit von Maschinen – Funktionale Sicherheit sicherheitsbezogener elektrischer, elektronischer und programmierbarer elektronischer Steuerungssysteme

Funktionale Sicherheit ist der Teil der Gesamtanlagensicherheit, der von der korrekten Funktion sicherheitsbezogener Systeme zur Risikominderung abhängt. Dazu zählen elektrische, elektronische und programmierbare elektronische Systeme (E/E/PE). Diese Systeme müssen ihre bestimmungsgemäßen Funktionen (Sicherheitsfunktionen) unter definierten Fehlerbedingungen und mit definierter hoher Wahrscheinlichkeit ausführen. Das Ziel ist, einen sicheren Anlagenzustand zu erreichen oder aufrechtzuerhalten.

Funktionale Sicherheit ist gegeben, wenn jede spezifizierte Sicherheitsfunktion ausgeführt wird und der für jede Sicherheitsfunktion geforderte Erfüllungsgrad erreicht wird.

Funktionale Sicherheit und die DIN EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme

Erfolgt die Risikoreduzierung mit Mitteln der Prozessleittechnik (PLT), so müssen die verwendeten Komponenten die Anforderungen der DIN EN 61508 erfüllen. Diese Norm ist entwickelt worden, um Anforderungen zum Erreichen der Sicherheitsintegrität zur Verfügung zu stellen. Der Begriff Sicherheitsintegrität bezeichnet dabei die Wahrscheinlichkeit, dass eine Sicherheitsfunktion zufriedenstellend ausgeführt wird.

Diese Norm gibt organisatorische und technische Anforderungen sowohl für die Geräteentwicklung als auch für den Gerätebetrieb vor. Dabei werden für Anlagen und risikoreduzierende Maßnahmen vier Sicherheitsstufen

6.5.4 Sicherheitsbezogene Teile von Steuerungen – Seite 24 – 01.10.2011 << >>
unterschieden. Je höher das Risiko, umso zuverlässiger müssen die Maßnahmen zur Risikoreduzierung durchgeführt werden. In gleichem Maße steigen die Anforderungen an die verwendeten Komponenten.

Erstmals fordert mit der DIN EN 61508 eine Norm einen quantitativen Nachweis für das verbleibende Risiko für die komplette PLT-Schutzeinrichtung, bestehend aus Sensor, Steuerung und Aktor.

Ziele und Anwendungsbereich der DIN EN 61508

Die DIN EN 61508 ist keiner Richtlinie zugeordnet und somit nicht als harmonisierte europäische Norm ausgewiesen, d.h., ihre Anwendung führt nicht zur Konformitätsvermutung. Die DIN EN 61508 soll helfen, ein sinnvolles und konsistentes technisches Verfahren für alle elektrischen Sicherheitssysteme zu entwickeln.

Die Norm fordert, dass eine Risikoanalyse durchgeführt wird und weiter festgelegt wird, für welche Sicherheitsfunktionen (mit einer jeweils spezifizierten Sicherheitsintegrität, dem Safety Integration Level, abgekürzt SIL) ein oder mehrere sicherheitsbezogene Systeme notwendig sind. Ziel ist es, sicherzustellen, dass entsprechend dem SIL verbliebene systematische Fehler keinen Ausfall des sicherheitsbezogenen E/E/PE-Systems verursachen.

Von der DIN EN 61508 betroffen sind sicherheitsbezogene Systeme, wenn eines oder mehrere dieser Systeme E/E/PE-Geräte enthalten, z.B. E/E/PE-Systeme aus den Bereichen Notabschaltsysteme, Feuermelde- und Gaswarnsysteme, Turbinenüberwachung, Brennersteuerungen und medizinische Geräte. Die Norm ist immer auf das gesamte sicherheitsbezogene E/E/PE-System anzuwenden, auch wenn die E/E/PE-Technologie nur einen kleinen Teil eines sicherheitsbezogenen Systems ausmacht.

Für SIL 1 (geringes Risiko) kann die Beurteilung durch eine unabhängige Person aus der gleichen Organisation vorgenommen werden, für SIL 4 (hohes Risiko) muss eine unabhängige Organisation die Beurteilung durchführen.

Aufbau der IEC 61508 bzw. IEC/DIN EN 61508

Der Standard ist in sieben Teilen veröffentlicht. Nur die ersten vier Teile enthalten normative Anforderungen.

  • DIN EN 61508-1: Allgemeine Anforderungen

  • DIN EN 61508-2: Anforderungen an sicherheitsbezogene elektrische/elektronische/programmierbare elektronische Systeme

  • DIN EN 61508-3: Anforderungen an Software

  • DIN EN 61508-4: Begriffe und Abkürzungen

    6.5.4 Sicherheitsbezogene Teile von Steuerungen – Seite 25 – 01.10.2011 << >>
  • DIN EN 61508-5: Beispiele zur Ermittlung der Stufe der Sicherheitsintegrität (SIL)

  • DIN EN 61508-6: Richtlinien für die Anwendung von DIN EN 61508-2 und DIN EN 61508-3

  • DIN EN 61508-7: Überblick über Techniken und Maßnahmen

Sicherheitslebenszyklus

Um auf systematische Art und Weise alle Tätigkeiten, die zum Erreichen des erforderlichen Sicherheitsintegritätslevels (SIL) für die sicherheitsbezogenen E/E/PE-Systeme notwendig sind, abzuhandeln, verwendet die IEC/DIN EN 61508 als technischen Rahmen einen gesamten Sicherheitslebenszyklus. Der gesamte Sicherheitslebenszyklus enthält folgende Maßnahmen zur Risikominderung:

  • sicherheitsbezogene E/E/PE-Systeme

  • sicherheitsbezogene Systeme anderer Technologie

  • externe Einrichtungen zur Risikominderung

Für wen ist die IEC 61508 relevant?

Anhand einer Gefährdungs- und Risikoanalyse können sämtliche Gefahren ermittelt werden, die von einer Anlage und deren zugehörigen Steuerungssystemen ausgehen. Dadurch wird analysiert, ob funktionale Sicherheit erforderlich ist, um einen angemessenen Schutz gegen mögliche Gefährdungen zu gewährleisten. Sollte das der Fall sein, müssen die zugehörigen Konzepte in angemessener Art und Weise in die Entwicklung dieser Anlage mit einfließen.

Funktionale Sicherheit ist nur eine Möglichkeit für den Umgang mit diesen Gefährdungen. Andere Methoden sind dabei ebenso von grundlegender Bedeutung wie z.B. die inhärente Sicherheit durch die Entwicklung. Die IEC 61508 definiert angemessene Methoden, um funktionale Sicherheit für betroffene Systeme zu erreichen.

Welche Systeme sind von der IEC 61508 betroffen?

Die IEC 61508 ist auf sicherheitsbezogene Systeme anzuwenden, wenn diese eine oder mehrere der folgenden Geräte enthält:

  • elektrische Geräte (E)

  • elektronische Geräte (E)

  • programmierbare elektronische Geräte (PE)

Die Norm betrachtet mögliche Risiken, die durch den Ausfall von Sicherheitsfunktionen verursacht werden. Nicht abgedeckt werden Gefährdungen durch die E/E/PE-Geräte selbst, wie z.B. elektrischer Schlag. Die

6.5.4 Sicherheitsbezogene Teile von Steuerungen – Seite 26 – 01.10.2011 << >>
Norm ist allgemein auf sicherheitsbezogene E/E/PE-Systeme anwendbar, unabhängig von der jeweiligen Applikation.

Ein Safety Instrumented System (SIS) wird eingesetzt, um einen gefährlichen Prozess abzusichern und das Risiko eines Unfalls zu reduzieren. Prozessinstrumente sind Bestandteil eines Safety Instrumented Systems. Dieses besteht aus den wesentlichen Komponenten einer gesamten sicherheitsrelevanten Prozesseinheit:

  1. 1.

    Sensor

  2. 2.

    fehlersichere Verarbeitungseinheit

  3. 3.

    Aktor

Abb. 7: Komponenten einer SIS

Alle Einheiten zusammen ergeben ein SIS. Um ein SIS auf seine funktionale Sicherheit hin bewerten zu können, muss deshalb die gesamte Verarbeitungskette (vom Sensor bis zum Aktor) betrachtet werden.

Abb. 8: Darstellung eines SIS

Innerhalb eines SIS können mehrere Sensoren, Aktoren oder Steuerungskomponenten zum Einsatz kommen. Innerhalb einer Anlage können unter Umständen sicherheits- und nicht sicherheitsrelevante Komponenten miteinander verbunden sein. Für das SIS werden dabei nur die sicherheitsrelevanten Komponenten betrachtet.

6.5.4 Sicherheitsbezogene Teile von Steuerungen – Seite 27 – 01.10.2011 << >>

Ermittlung des erforderlichen SIL

Von Anlagen oder Anlagenteilen gehen unterschiedliche Risiken aus. Somit steigern sich mit zunehmendem Risiko auch die Anforderungen an die Fehlersicherheit des Safety Instrumented Systems (SIS). Die Normen IEC 61508 und IEC 61511 definieren dabei vier unterschiedliche Sicherheitsstufen, welche die Maßnahmen zur Risikobeherrschung dieser Komponenten beschreiben. Diese vier Sicherheitsstufen sind der sogenannte:

Safety Integrity Level (SIL)

Je höher der Zahlenwert des Safety Integrity Level (SIL) ist, desto größer ist die Risikoreduzierung. Der SIL ist somit das Maß für die Wahrscheinlichkeit, dass das Sicherheitssystem die geforderten Sicherheitsfunktionen für einen bestimmten Zeitraum korrekt erfüllen kann.

Um den erforderlichen SIL einer Anlage oder eines Anlagenteiles zu ermitteln, gibt es unterschiedliche Ansätze. In den Normen IEC 61508 und IEC 61511 (Anwendung der IEC 61508 für die Prozessindustrie) sind zur Festlegung des SIL verschiedene Methoden aufgeführt. Da die Thematik sehr komplex ist, soll sie hier nur zum grundlegenden Verständnis aufgezeigt werden.

Eine quantitative Methode

Das Risiko eines gefährlichen Prozesses ist bestimmt durch die Wahrscheinlichkeit, mit der ein gefährlicher Vorfall ohne vorhandene Schutzmaßnahmen auftreten könnte, multipliziert mit der Auswirkung des gefährlichen Vorfalls. Es ist zu ermitteln, wie hoch die Wahrscheinlichkeit ist, die zu einem gefährlichen Zustand führen kann. Diese Wahrscheinlichkeit kann unter Anwendung quantitativer Risikobeurteilungsmethoden abgeschätzt werden und mit einen numerischen Grenzwert festgelegt werden.

Die Wahrscheinlichkeit kann bestimmt werden durch:

  • Analyse der Ausfallraten in vergleichbaren Situationen

  • Daten aus relevanten Datenbanken

  • Berechnung unter Anwendung angemessener Vorhersagemethoden

Die genauen Berechnungsmethoden können hier nicht weiter behandelt werden und sind bei Bedarf in der IEC 61508 in Teil 5 näher beschrieben.

Eine qualitative Methode

Die qualitative Methode ist ein vereinfachtes Modell, das sehr gut aufzeigt, bei welchen Gefahren welcher SIL gefordert ist.

6.5.4 Sicherheitsbezogene Teile von Steuerungen – Seite 28 – 01.10.2011 << >>

Abb. 9: Ermittlung des SIL nach der qualitativen Methode

Legende zur qualitativen Methode:

Schadensausmaẞ

Ca

leichte Verletzung einer Person, kleinere schädliche Umwelteinflüsse

Cb

schwere Verletzungen oder Tod einer Person

Cc

Tod mehrerer Personen

Cd

Tod sehr vieler Personen

 

Aufenthaltsdauer einer Person im gefährlichen Bereich

Aa

selten bis häufig

Ab

häufig bis dauernd

 

Gefahrenabwendung

Ga

möglich unter bestimmten Bedingungen

Gb

kaum möglich

 

Eintrittswahrscheinlichkeit

W1

sehr gering

W2

gering

W3

relativ hoch

6.5.4 Sicherheitsbezogene Teile von Steuerungen – Seite 29 – 01.10.2011 << >>

Low Demand und High Demand Mode

Da sich die Anwendungen in der Prozess- und Fertigungsindustrie wesentlich unterscheiden, werden auch unterschiedliche Anforderungen an das SIS gestellt. Aus diesem Grund gibt es für jeden dieser beiden Industriezweige ein unterschiedliches System, in dem die Anforderungsrate an das SIS festgelegt ist. Dabei unterscheidet man die Systeme anhand der Wahrscheinlichkeit bei Fehlern auf Anforderung des SIS (PFD, Probability of Failure on Demand).

Low Demand

Betriebsart mit niedriger Anforderungsrate an das Sicherheitssystem. Das Sicherheitssystem darf nicht häufiger als einmal pro Jahr angefordert werden.

SIL

PFD

Max. akzeptierter Ausfall des SIS

SIL 1

≥ 10-2 bis < 10-1

ein gefährlicher Ausfall in 10 Jahren

SIL 2

≥ 10-3 bis < 10-2

ein gefährlicher Ausfall in 100 Jahren

SIL 3

≥ 10-4 bis < 10-3

ein gefährlicher Ausfall in 1.000 Jahren

SIL 4

≥ 10-5 bis < 10-4

ein gefährlicher Ausfall in 10.000 Jahren

Abb. 10: Ausfallgrenzwerte für eine Sicherheitsfunktion, die in der Betriebsart mit niedriger Anforderungsrate betrieben wird (Low Demand)

High Demand

Betriebsart mit hoher Anforderungsrate oder kontinuierlicher Anforderung an das Sicherheitssystem. Das Sicherheitssystem arbeitet kontinuierlich oder wird häufiger als einmal pro Jahr angefordert.

SIL

PFH (pro Stunde)

Max. akzeptierter Ausfall des SIS

SIL 1

≥ 10-6 bis < 10-5

ein gefährlicher Ausfall in 100.000 Stunden

SIL2

≥ 10-7 bis < 10-6

ein gefährlicher Ausfall in 1.000.000 Stunden

SIL 3

≥ 10-8 bis < 10-7

ein gefährlicher Ausfall in 10.000.000 Stunden

SIL 4

≥ 10-9 bis <10-8

ein gefährlicher Ausfall in 100.000.000 Stunden

Abb. 11: Ausfallgrenzwerte für eine Sicherheitsfunktion, die in der Betriebsart mit hoher oder kontinuierlicher Anforderungsrate betrieben wird (High Demand)

6.5.4 Sicherheitsbezogene Teile von Steuerungen – Seite 30 – 01.10.2011 << >>

In der Fertigungstechnik wird meist der High Demand Mode (continuous mode) angewandt. Hier ist oft eine kontinuierliche Überwachung der Arbeitsprozesse notwendig, um die Sicherheit von Mensch und Umwelt gewährleisten zu können.

In der Prozessindustrie findet sich typischerweise der Low Demand Mode (on demand). Ein typisches Beispiel sind Notabschaltsysteme, die erst dann aktiv werden, wenn der Prozess außer Kontrolle gerät. Dies tritt normalerweise immer seltener als einmal im Jahr auf. Aus diesem Grund ist für die Prozessinstrumentierung der High Demand Mode in den meisten Fällen bedeutungslos.

Fehlerarten

Man unterscheidet in einem Safety Instrumented System sowohl die systematischen Fehler als auch die zufälligen Fehler. Um einen geforderten SIL-Level zu erfüllen, müssen beide Fehlerarten jeweils für sich betrachtet werden.

Zufällige Fehler

Zufällige Fehler existieren nicht zum Lieferzeitpunkt. Sie ergeben sich aus Fehlern der Hardware und treten zufällig während des Betriebs auf. Beispiele für zufällige Fehler sind: Kurzschluss, Unterbrechung, Wertedrift eines Bauelements usw.

Die Fehler- und damit verbunden die Höhe der Ausfallwahrscheinlichkeit sind berechenbar. Berechnet werden die einzelnen Hardwarekomponenten eines SIS. Die daraus resultierenden Ergebnisse werden durch den PFD-Wert (average probability of failure on demand) ausgedrückt und sind Berechnungsgrundlage zur Ermittlung des SIL-Wertes.

Systematische Fehler

Systematische Fehler existieren bereits zum Lieferzeitpunkt in jedem gelieferten Gerät. Typischerweise sind es Entwicklungsfehler oder Fehler im Aufbau oder der Projektierung. Beispiele sind Softwarefehler, falsche Dimensionierung, falsche Auslegung des Messgerätes usw. Den größten Anteil an systematischen Fehlern haben Fehler in der Gerätesoftware. Die grundlegende Überlegung bei systematischen Softwarefehlern ist, dass Fehler in der Programmierung auch zu einem Fehler im Prozess führen können.

Common-Cause-Fehler

Besondere systematische Fehler sind Common-Cause-Fehler. Dies sind Fehler, die durch äußere Einflüsse, wie z.B. elektromagnetische Störungen (EMV), oder sonstige Umwelteinflüsse, wie z.B. Temperatur oder mechanische Beanspruchung, verursacht werden. Sie wirken gleichzeitig auf

6.5.4 Sicherheitsbezogene Teile von Steuerungen – Seite 31 – 01.10.2011 << >>
alle Komponenten eines Safety Instrumented Systems. Systematische Fehler müssen durch besondere Maßnahmen während der Entwicklung vermieden werden. Dazu gehören z.B. qualitative Anforderungen der IEC-Norm an den Entwicklungsprozess, den Änderungsprozess und die HW/SW-Architektur des Gerätes.

Die Gerätehersteller müssen Angaben über die SIL-Einstufung bezüglich der systematischen Fehler liefern. Diese Angaben finden sich in der Regel in der Konformitätserklärung der einzelnen Geräte. In Abhängigkeit vom SIL erfolgen die Angaben auch über Zertifikate von externen unabhängigen Organisationen wie dem TÜV oder Bescheinigungen von auf Prüfungen spezialisierten Firmen wie z.B. exida.

Diese Angaben sind keine Werte für weitere Berechnungen, sondern lediglich eine Angabe über die SIL-Einstufung des Gerätes in Bezug auf die systematischen Fehler. Um die Forderungen bei einem bestimmten SIL (z.B. SIL 3) an die systematischen Fehler zu erfüllen, muss das gesamte SIS entsprechend ausgelegt sein. Die einfachste Betrachtung ist in diesem Fall, dass sämtliche Komponenten eine SIL-3-Einstufung für systematische Fehler besitzen.

Diversitäre Redundanz bei systematischen Fehlern

Jedoch gibt es auch die Möglichkeit, SIL-2-Komponenten einzusetzen, wenn Maßnahmen ergriffen wurden, die einen systematischen Fehler nicht auf SIL-2-Niveau belassen. Sollen beispielsweise SIL-2-Druckmessgeräte in einem SIL-3-SIS eingesetzt werden, muss dafür gesorgt werden, dass unterschiedliche Gerätesoftware zum Einsatz kommt. Dies erreicht man z.B. durch den Einsatz von zwei unterschiedlichen Geräten, am besten unterschiedlicher Hersteller (diversitäre Redundanz). Als diversitäre Redundanz kann auch gelten, wenn statt unterschiedlicher Geräte unterschiedliche Technologien (sofern sinnvoll) eingesetzt werden, beispielsweise mit einem Druckmessgerät und einem Temperaturmessgerät.

6.5.4.3 Dokumentation

Jede Handlung bei der Gestaltung und Integration sicherheitsbezogener Teile von Steuerungen (Anwendungsbereich der Norm) muss daran orientiert sein, möglichst fehlerfreie, den Anforderungen entsprechende Produkte zu entwickeln und diese auch wie vorgesehen einzusetzen. Schließlich geht es um die Gesundheit von Menschen und die Vermeidung von Unfällen. Das Motto für den Entwicklungsablauf muss daher lauten: strukturiert und gut dokumentiert!

6.5.4 Sicherheitsbezogene Teile von Steuerungen – Seite 32 – 01.10.2011 << >>

Allgemeines Gliederungsschema für eine Spezifikation der Sicherheitsanforderungen

1

Allgemeine Produkt- und Projektangaben

1.1

Produktidentifikation

1.2

Autor, Version, Datum, Dokumentenname, Dateiname

1.3

Inhaltsverzeichnis

1.4

Begriffe, Definitionen, Glossar

1.5

Versionshistorie und Änderungsvermerke

1.6

Für die Entwicklung relevante Richtlinien, Normen und technische Regeln

2

Funktionale Angaben zur Maschine, soweit sicherheitstechnisch von Bedeutung

2.1

Bestimmungsgemäße Verwendung und vernünftigerweise vorhersehbare Fehlanwendung/-bedienung

2.2

Prozessbeschreibung (Betriebsfunktionen)

2.3

Betriebsarten (z.B. Einrichtbetrieb, Automatikbetrieb, Betrieb mit lokalem Bezug oder von Teilen der Maschine)

2.4

Kenndaten, z.B. Zykluszeiten, Reaktionszeiten, Nachlaufwege

2.5

Sonstige Eigenschaften der Maschine

2.6

Sicherer Zustand der Maschine

2.7

Wechselwirkung zwischen Prozessen (s. auch 2.2) und manuellen Aktionen (Reparatur, Einrichten, Reinigen, Fehlersuche usw.)

2.8

Handlungen im Notfall

3

Erforderliche(r) Performance Level (PLr)

3.1

Referenz auf vorhandene Dokumentation zur Gefährdungsanalyse und Risikobeurteilung der Maschine

3.2

Ergebnisse der Risikobeurteilung für jede ermittelte Gefährdung oder Gefährdungssituation und Festlegung der zur Risikominderung jeweils erforderlichen Sicherheitsfunktion(en)

4

Sicherheitsfunktionen (Angaben gelten für jede Sicherheitsfunktion)

  • Funktionsbeschreibung (Erfassen – Verarbeiten – Ausgeben) einschließlich aller funktionaler Eigenschaften (s. auch 5.1 und 5.2)

  • Aktivierungs-/Deaktivierungsbedingungen oder -ereignisse (z.B. Betriebsarten der Maschine)

    6.5.4 Sicherheitsbezogene Teile von Steuerungen – Seite 33 – 01.10.2011 << >>
  • Verhalten der Maschine beim Auslösen der Sicherheitsfunktion

  • zu berücksichtigende Wiederanlaufbedingungen

  • Leistungskriterien/Leistungsdaten

  • Ablauf (zeitliches Verhalten) der Sicherheitsfunktion mit Reaktionszeit

  • Häufigkeit der Betätigung (d.h. Anforderungsrate), Erholungszeiten nach Anforderung

  • sonstige Daten

  • einstellbare Parameter (soweit vorgesehen)

  • Einordnung und Zuordnung von Prioritäten bei gleichzeitiger Anforderung und Bearbeitung mehrerer Sicherheitsfunktionen – funktionales Konzept zur Trennung bzw. Unabhängigkeit/Rückwirkungsfreiheit zu Nichtsicherheitsfunktionen und weiteren Sicherheitsfunktionen

5

Vorgaben für den SRP/CS-Entwurf

5.1

Zuweisung, durch welche SRP/CS und in welcher Technologie die Sicherheitsfunktion realisiert werden soll, vorgesehene Betriebsmittel

5.2

Auswahl der Kategorie, vorgesehene Architektur (Struktur) als sicherheitsbezogenes Blockdiagramm mit Beschreibung

5.3

Schnittstellenbeschreibung (Prozessschnittstellen, interne Schnittstellen, Bedienerschnittstellen, Bedien- und Anzeigeelemente usw.)

5.4

Einschaltverhalten, Umsetzung des erforderlichen Anlaufverhaltens und Wiederanlaufverhaltens

5.5

Leistungsdaten: Zykluszeiten, Reaktionszeiten usw.

5.6

Verhalten des SRP/CS bei Bauteilausfällen und -fehlern (Erreichen und Aufrechterhalten des sicheren Zustandes) einschließlich Zeitverhalten

5.7

Zu berücksichtigende Ausfallarten von Bauteilen, Baugruppen oder Blöcken und ggf. Begründung für Fehlerausschlüsse

5.8

Konzept zur Umsetzung der Erkennung und Beherrschung von zufälligen und systematischen Ausfällen (Selbsttests, Testschaltungen, Überwachungen, Vergleiche, Plausibilitätsprüfungen, Fehlererkennung durch den Prozess usw.)

6.5.4 Sicherheitsbezogene Teile von Steuerungen – Seite 34 – 01.10.2011 << >>

5.9

Quantitative Aspekte

5.9.1

Zielwerte für MTTFd und DCavg

5.9.2

Schalthäufigkeit verschleißbehafteter Bauteile

5.9.3

Häufigkeit von Maßnahmen zur Fehleraufdeckung

5.9.4

Gebrauchsdauer, falls abweichend von der Berechnungsgrundlage der vorgesehenen Architekturen (20 Jahre)

5.10

Betriebs- und Grenzdaten (Betriebs- und Lagertemperaturbereich, Feuchteklasse, IP-Schutzart, Schock-/Vibrations-/EMV-Störfestigkeitswerte, Versorgungsdaten mit Toleranzen usw.) (IP = International Protection, EMV = elektromagnetische Verträglichkeit)

5.11

Anzuwendende Grundnormen für die Konstruktion (zur Ausrüstung, zum Schutz gegen elektrischen Schlag/gefährliche Körperströme, zur Störfestigkeit gegen Umgebungsbedingungen usw.)

5.12

Technische und organisatorische Maßnahmen für einen gesicherten Zugriff auf sicherheitsrelevante Parameter bzw. SRP/CS-Eigenschaften (Manipulationsschutz, Zugangssicherung, Programm-/Datenschutz) und zum Schutz gegen unbefugtes Bedienen (Schlüsselschalter, Code usw.), z.B. bei Sonderbetriebsarten

5.13

Allgemeine technische Voraussetzungen und organisatorische Rahmenbedingungen für die Inbetriebnahme, Prüfung und Abnahme sowie Wartung und Instandhaltung

Die technischen Unterlagen umfassen

  1. a)

    eine technische Dokumentation mit folgenden Angaben bzw. Unterlagen:

    • eine allgemeine Beschreibung der Maschine

    • eine Übersichtszeichnung der Maschine und die Schaltpläne der Steuerkreise sowie Beschreibungen und Erläuterungen, die zum Verständnis der Funktionsweise der Maschine erforderlich sind

    • vollständige Detailzeichnungen, eventuell mit Berechnungen, Versuchsergebnissen, Bescheinigungen usw., die für die Überprüfung der Übereinstimmung der Maschine mit den grundlegenden Sicherheits- und Gesundheitsschutzanforderungen erforderlich sind

    • die Unterlagen über die Risikobeurteilung, aus denen hervorgeht, welches Verfahren angewandt wurde

      6.5.4 Sicherheitsbezogene Teile von Steuerungen – Seite 35 – 01.10.2011 << >>

      und dies schließt ein:

      1. i)

        eine Liste der grundlegenden Sicherheits- und Gesundheitsschutzanforderungen, die für die Maschine gelten

      2. ii)

        eine Beschreibung der zur Abwendung ermittelter Gefährdungen oder zur Risikominderung ergriffenen Schutzmaßnahmen und gegebenenfalls eine Angabe der von der Maschine ausgehenden Restrisiken

    • die angewandten Normen und sonstige technische Spezifikationen unter Angabe der von diesen Normen erfassten grundlegenden Sicherheits- und Gesundheitsschutzanforderungen

    • alle technischen Berichte mit den Ergebnissen der Prüfungen, die vom Hersteller selbst oder von einer Stelle nach Wahl des Herstellers oder seines Bevollmächtigten durchgeführt wurden

    • ein Exemplar der Betriebsanleitung der Maschine

    • gegebenenfalls die Einbauerklärung für unvollständige Maschinen und die Montageanleitung für solche unvollständigen Maschinen

    • gegebenenfalls eine Kopie der EG-Konformitätserklärung für in die Maschine eingebaute andere Maschinen oder Produkte

    • eine Kopie der EG-Konformitätserklärung

  2. b)

    bei Serienfertigung eine Aufstellung der intern getroffenen Maßnahmen zur Gewährleistung der Übereinstimmung aller gefertigten Maschinen mit den Bestimmungen dieser Richtlinie

6.5.4 Sicherheitsbezogene Teile von Steuerungen – Seite 36 – 01.10.2011 <<

Eine Sicherheitsfunktion wird unter anderem mit sicherheitsbezogenen Teilen von Steuerungen realisiert. Diese beginnen mit der Erfassung sicherheitsbezogener Eingangs Signale, z.B. mit der Detektion einer Schutztürstellung durch einen Positionsschalter der Bauart 2, bei dem der an der Tür befestigte getrennte Betätiger bereits ein sicherheitsbezogener Teil ist. Es schließt sich die Signalverarbeitung an, die ein Ausgangssignal erzeugt. Hier könnte es sich um ein Leistungsschütz handeln, das einen Motor mit dem Netz verbindet. Das Leistungsschütz ist ein sicherheitsbezogener Teil der Steuerung, während der Motor mit seiner Verkabelung nicht mehr dazugehört.


Die Wahrscheinlichkeit für den Eintritt eines Gefährdungsereignisses ist in der Praxis kaum zu bestimmen. Zur Vereinfachung ist daher im Risikographen bereits der ungünstigste Fall eingearbeitet und eine weitere Bewertung nicht mehr erforderlich.